Tijdens de recente CARO workshop voor anti-virusbedrijven is een nieuwe manier besproken om malware binnen de industrie te delen, wat detectie moet verbeteren. Op dit moment wisselen virusbestrijders complete collecties uit, die steeds groter worden. Daardoor krijgen virusbestrijders vaak ook eerder gedeelde exemplaren terug, wat de overhead vergroot. "Het is een gigantische overheid", zegt Righard Zwienenberg van het Noorse anti-virusbedrijf Norman. Het door de virusbestrijder ontwikkelde "Sample Sharing Initiative" moet hier een einde aan maken.

Al het extra werk gaat namelijk ten koste van de detectie van nieuwe malware. "Niet zozeer omdat de detectie slechter zou zijn, maar als het een polymorfisch virus dan ziet die er anders uit. Dan kun je niet op basis van een MD5 of SHA1 zeggen dat je hem al hebt en moet je er toch even naar kijken", aldus Zwienenberg. Bij het nieuwe plan kunnen anti-virusbedrijven zelf aangeven wat ze willen hebben van andere leveranciers. Het gaat hier om een geheel geautomatiseerd proces dat naar de MD5 signature kijkt.

Positief
Andere anti-virusbedrijven zijn zeer positief. McAfee heeft het al geïmplementeerd en ook Sophos en Symantec gaan over. Het in PHP en curl opgezette framework is zeer simplistisch en binnen een paar uur op te zetten. Volgens Zwienenberg was het niet mogelijk om een centrale repository aan te leggen. "Dan heb je een derde partij nodig die iedereen vertrouwt en wie gaat dat betalen?"

Doordat de overhead verdwijnt, kunnen anti-virusbedrijven sneller nieuwe malware analyseren, wat de detectie ten goede moet komen. "Je hebt meer middelen over om de exemplaren te onderzoeken die je nog niet detecteerde."